axios@1.14.1、axios@0.30.4 のバージョンが侵害されました。
(github.com/axios)本日 npm install コマンドを通じて、axios@1.14.1、axios@0.30.4
上記のバージョンをインストールした場合、マルウェアがインストールされる可能性があります。
週あたり1億回以上ダウンロードされているライブラリとのことで、影響はかなり大きそうです。
axios を検索したところ GeekNews に関連投稿が見当たらなかったため投稿しますが、重複投稿と確認された場合は削除します。
6件のコメント
今回流出した Claude Code のソースコードから、Clco でも axios を使っていることが分かりましたね。
伝説級のサプライチェーン攻撃ですね
これが攻撃を受けたかどうかを確認する方法はありますか?
Axios が NPM 上で侵害され、リモートアクセス型トロイの木馬が配布 該当の投稿を見ると、OS ごとのファイル保存パスを確認してチェックできます。
取り急ぎサービスのコードを確認したところ、最新バージョンは使っていませんでした。偶然被害を免れて幸いです。皆さんにも被害がないことを願っています。
この件は重要なため、AIが要約した版も別途登録しました。詳細はあわせてご参照ください。
NPM上のAxiosが侵害され、リモートアクセストロイの木馬が配布される